AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Be My Eyes: ¿Una Defensa Efectiva Frente al Phishing para Usuarios con Discapacidad Visual?

admin

### Introducción

El acceso inclusivo a la tecnología es una necesidad creciente, especialmente para los colectivos con discapacidad visual. La aplicación Be My Eyes, diseñada para conectar a personas ciegas o con baja visión con voluntarios y agentes corporativos para recibir asistencia visual en tiempo real, ha ganado popularidad como herramienta de accesibilidad. Sin embargo, surge la duda: ¿puede esta aplicación proteger realmente a sus usuarios contra amenazas como el phishing, o existen limitaciones inherentes y riesgos adicionales que los profesionales de ciberseguridad deben considerar?

### Contexto del Incidente o Vulnerabilidad

En los últimos años, los ataques de phishing han evolucionado desde simples correos electrónicos fraudulentos hasta complejas campañas multicanal capaces de evadir filtros automatizados y explotar la ingeniería social. Los usuarios con discapacidad visual son especialmente vulnerables, ya que dependen de tecnologías de asistencia, como lectores de pantalla, que pueden pasar por alto indicios visuales de fraude (por ejemplo, URLs sospechosas, formatos inusuales o elementos gráficos alterados). Be My Eyes intenta suplir esta carencia permitiendo que un voluntario o agente corporativo “vea” por el usuario y describa lo que aparece en pantalla o en documentos físicos.

### Detalles Técnicos: Vectores de Ataque y Medidas Existentes

**Phishing visual y limitaciones técnicas**

El phishing dirigido a usuarios con discapacidad visual suele explotar la confianza y la dependencia de terceros. Las campañas pueden incluir:

– SMS fraudulentos (smishing) con enlaces maliciosos,
– Correos electrónicos con adjuntos infectados o enlaces a páginas de login falsas,
– Llamadas telefónicas (vishing) para obtener credenciales de acceso.

**Be My Eyes y la verificación de identidades**

La aplicación permite a los usuarios solicitar ayuda a voluntarios o agentes corporativos verificados. Sin embargo, la verificación de la autenticidad de estos agentes depende en gran medida de la infraestructura de la aplicación y de la confianza en la organización. Las amenazas potenciales incluyen:

– **Suplantación de agentes**: Un atacante podría registrarse como voluntario y guiar al usuario hacia acciones inseguras.
– **Ingeniería social inversa**: El atacante puede manipular la conversación para obtener información sensible.

**IoC y frameworks relevantes**

Actualmente, no existen CVE específicos asociados a Be My Eyes, pero sí se han reportado incidentes en los que atacantes explotan la confianza del usuario de la aplicación para facilitar fraudes. Los TTPs (Tácticas, Técnicas y Procedimientos) observados se alinean con técnicas MITRE ATT&CK como T1204 (User Execution) y T1566 (Phishing).

### Impacto y Riesgos

– **Compromiso de credenciales**: Usuarios guiados erróneamente pueden introducir credenciales en sitios fraudulentos.
– **Pérdida de datos personales**: El acceso visual a información sensible puede exponer datos protegidos por GDPR.
– **Riesgo reputacional y legal**: Una brecha podría implicar sanciones regulatorias (GDPR, NIS2) y daños de imagen para empresas que presten soporte a través de la aplicación.
– **Perspectiva de mercado**: El sector de la accesibilidad digital, estimado en más de 10.000 millones de dólares, puede verse afectado por incidentes de seguridad que reduzcan la confianza de los usuarios.

### Medidas de Mitigación y Recomendaciones

1. **Verificación de agentes**: Utilizar autenticación multifactor y procesos estrictos de onboarding para quienes asistan a usuarios.
2. **Limitación de datos compartidos**: Instruir a los usuarios para que nunca compartan contraseñas o códigos de verificación, ni siquiera con agentes.
3. **Capacitación en concienciación de seguridad**: Crear materiales accesibles sobre phishing y fraude digital adaptados a tecnologías de asistencia.
4. **Monitorización y auditoría**: Implementar registros detallados de sesiones y mecanismos de respuesta a incidentes.
5. **Integración con soluciones anti-phishing**: Aunque Be My Eyes puede ayudar a identificar estafas visuales, debe complementarse con filtros automáticos, análisis de URL y detección de anomalías en correo electrónico.
6. **Cumplimiento normativo**: Asegurar que los flujos de datos y la gestión de la información cumplan con GDPR y la directiva NIS2.

### Opinión de Expertos

Según analistas de ciberseguridad de Kaspersky y otros actores del sector, aunque Be My Eyes aporta una capa extra de defensa al permitir la intervención humana en la detección de fraudes visuales, no debe considerarse una solución definitiva. “El factor humano es un arma de doble filo: puede ayudar a detectar anomalías que las máquinas pasan por alto, pero también puede ser manipulado por atacantes expertos en ingeniería social”, señala un CISO de una multinacional tecnológica.

### Implicaciones para Empresas y Usuarios

Las empresas que ofrecen soporte a través de plataformas como Be My Eyes deben considerar la seguridad de la cadena de asistencia como una extensión de su perímetro digital. La formación continua, la supervisión de los agentes y el desarrollo de procedimientos claros para el manejo de información sensible son imprescindibles para minimizar el riesgo. Los usuarios, por su parte, deben ser instruidos en buenas prácticas de higiene digital y contar con canales alternativos de verificación en caso de duda.

### Conclusiones

Be My Eyes representa un avance significativo en accesibilidad, pero no es, por sí solo, una solución infalible contra el phishing. Su eficacia depende de la robustez de sus controles internos, la formación de sus agentes y usuarios, y la integración con otras tecnologías de defensa. La colaboración entre desarrolladores de aplicaciones de asistencia y equipos de ciberseguridad será clave para cerrar brechas y proteger a los colectivos más vulnerables.

(Fuente: www.kaspersky.com)